Une cyberattaque visant Sorbonne Université aurait compromis les données sensibles de plus de 32 000 agents. Identités, salaires, RIB et documents personnels figureraient parmi les informations dérobées par le pirate.
C’est une attaque comme les universités en redoutent : silencieuse, précise, et lourde de conséquences. En juin 2025, Sorbonne Université a été la cible d’une nouvelle cyberattaque ayant exploité une faille de son système d’information (SI). Résultat : plus de 32 000 comptes auraient été exposés, dont des informations aussi sensibles que les numéros de sécurité sociale, les bulletins de salaire, les RIB, voire les justificatifs d’embauche. C’est du moins ce qu’indique un document interne consulté par ZATAZ. La base compromise ne se limite pas aux employés actuels : elle inclurait également d’anciens salariés. Face à cette brèche d’une ampleur inédite, l’établissement a mis en place un numéro vert et une FAQ via l’Intranet… mais les données, elles, sont bel et bien parties.
Une faille exploitée dans le système d’information
La vulnérabilité exploitée a permis aux cybercriminels d’infiltrer les outils de gestion des ressources humaines et de paie (SIRH). Selon le communiqué officiel publié le 6 juin 2025 sur le site de la sorbonne : « Dans un contexte général où de nombreuses institutions font l’objet d’attaques informatiques, Sorbonne Université a été victime d’une cyberattaque. Son système d’information connaît de fortes perturbations en raison de la détection d’un incident de sécurité qui a endommagé différents outils numériques sans pour autant empêcher la continuité de service. Pour faire face à cette situation, des mesures correctives ont été mises en place pour renforcer les dispositifs de sécurité. » C’est la société de cybersécurité qui se charge de l’après attaque. Le numéro vert mis en place pour les employés a pour mission de rassurer. « Les pirates ont copié les informations RH » confirme notre interlocuteur au téléphone.
Des adresses mails professionnelles, des coordonnées bancaires, des numéros de sécurité sociale et des éléments liés à la rémunération ont été compromis. Environ 32 000 comptes sont concernés, y compris ceux d’anciens salariés, dont les données étaient toujours archivées. Selon le document consulté par ZATAZ, des données critiques qu’un pirate a pu voler : Identité complète : noms, prénoms, numéros de sécurité sociale ; Coordonnées : adresses postales, numéros de téléphone, mails ; Informations contractuelles : type de contrat, statut d’emploi, arrêts maladie ; Rémunération : bulletins de paie ; Données bancaires : RIB, IBAN ; Justificatifs : attestations de domicile, certificats bancaires, documents d’embauche ; Courriels internes : contenus liés à 564 comptes, potentiellement sensibles.
Bref, ce volume de données constitue un véritable catalogue d’usurpation d’identité, phishing ciblé, fraudes bancaires, voire ventes sur les marchés noirs.
Un impact qui dépasse l’université
Ce type d’attaque illustre la vulnérabilité des établissements universitaires, prisés pour la richesse et la sensibilité des données qu’ils collectent. En 2021, l’Université de Versailles avait déjà subi un ransomware, et en 2022, une université néerlandaise avait versé 200 000 € en Bitcoin pour restaurer ses systèmes. Ici, la différence majeure réside dans la variété et la précision des données volées, ainsi que l’absence de détails sur les auteurs de l’attaque. Il n’y aurait pas eu de revendication.
Sorbonne Université a déployé un numéro vert dédié et une FAQ pour informer les agents
Que peuvent faire les personnes concernées ?
Chaque agent ou ancien agent de la Sorbonne devrait changer immédiatement tous ses mots de passe (mails, banques…). Contacter sa banque pour signaler un risque potentiel de fraude. Activer une alerte d’usurpation d’identité via France Identité, Perceval… Le Service de Veille de ZATAZ peut vous permettre d’être alerter concernant toutes données diffusées dans le dark web ou web malveillants. Surveiller ses mails pour détecter tentatives de phishing (spear‑phishing) et surtout, déposer plainte auprès des autorités en cas de fraude ou utilisation abusive.
